CVE-2023-27589

Опубликовано: 14 мар. 2023

Источник: nvd

CVSS3: 6.5

EPSS Низкий

Описание

Minio is a Multi-Cloud Object Storage framework. Starting with RELEASE.2020-12-23T02-24-12Z and prior to RELEASE.2023-03-13T19-46-17Z, a user with consoleAdmin permissions can potentially create a user that matches the root credential accessKey. Once this user is created successfully, the root credential ceases to work appropriately. The issue is patched in RELEASE.2023-03-13T19-46-17Z. There are ways to work around this via adding higher privileges to the disabled root user via mc admin policy set.

Ссылки

https://github.com/minio/minio/pull/16803
Exploit
Patch
https://github.com/minio/minio/security/advisories/GHSA-9wfv-wmf7-6753
Vendor Advisory
https://github.com/minio/minio/pull/16803
Exploit
Patch
https://github.com/minio/minio/security/advisories/GHSA-9wfv-wmf7-6753
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:minio:minio:*:*:*:*:*:*:*:*

Версия от 2020-12-23t02-24-12z (включая) до 2023-03-13t19-46-17z (исключая)

EPSS

Процентиль: 24%

0.00079

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-269

NVD-CWE-noinfo

Связанные уязвимости

CVE-2023-27589

CVSS3: 6.5

debian

больше 2 лет назад

Minio is a Multi-Cloud Object Storage framework. Starting with RELEASE ...

ROS-20230411-03

CVSS3: 6.5

redos

около 2 лет назад

Уязвимость Minio

BDU:2023-02148

CVSS3: 6.5

fstec

больше 2 лет назад

Уязвимость сервера хранения объектов MinIO, связанная с небезопасным управлением привилегиями, позволяющая нарушителю отключить доступ к учетным данным root

EPSS

Процентиль: 24%

0.00079

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-269

NVD-CWE-noinfo